Алексей Волков (alex@cherepovets-city.ru)
Эту статью меня побудил написать один знакомый системный администратор, в чьем распоряжении оказался, по несчастью, модемный пул на 30 номеров и около сотни его пользователей. И все бы ничего, да вот только пользователи эти стали раздавать свои пароли налево и направо – через модемный пул можно было выйти в Интернет, и желающих попользоваться «халявой» было великое множество…
Прежде, чем начать повествование, расскажу о том, что же все-таки предстоит защищать. На рисунке 1 приведена схема, используемая в данной компании для организации модемного пула.
Рисунок 1 . Организация модемного пула
Дозвонка осуществлялась следующим образом. Пользователь набирал телефонный номер, принадлежащий компании, и попадал на один из модемов. При установке соединения необходимо было ввести логин и пароль, который опознавался Dial-In сервером. Поскольку логин и пароль для дозвонки совпадали с аналогичными для входа в домен, при удачном соединении компьютер пользователя становился «частью» внутренней корпоративной сети предприятия. После этого пользователь со своего домашнего компьютера мог выходить в Интернет. Кроме того, на всех машинах компании была установлена программа удаленного администрирования с возможностью обмена файлами.
С точки зрения информационной безопасности данная схема не выдерживает никакой критики. Не нужно быть экспертом по защите информации, чтобы увидеть все ее недостатки. Тем не менее, схема проста в организации и требует минимальных затрат на обслуживание, что немаловажно для компании среднего размера. Очевидно, этот факт и был решающим при выборе данной схемы организации пула. Про защиту информации тогда не задумывались. А зря…
После того, как с компьютеров, установленных на рабочих местах сотрудников компании, начали пропадать важные финансовые документы, практически все машины оказались зараженными вирусами, а компании-конкуренты «вдруг» начали активно снижать цены, служба безопасности забила тревогу: надо что-то делать. Специалисты переворошили все, что можно, в поисках ответственных за свершившееся лиц. А безобразия продолжались.
Наконец, при более тщательной проверке ЛВС компании, в частности, сервера, обслуживающего модемный пул, обнаружилось наличие многочисленных дублирующихся записей в лог-файле подключений. Практически в одно и то же время под одним логином работало до 10 человек.
Выход напрашивался сам собой: поменять все пароли и запретить вход пользователя, если введенный им логин уже активен. В качестве организационной меры всем сотрудникам компании было вынесено предупреждение; пользователи, записи которых дублировались, были лишены премии, и все сотрудники расписались в обязательстве о неразглашении регистрационной информации. После этого дублирующихся записей не стало вообще, и в течении полугода все было как надо, пока у директора фирмы в качестве заставки на рабочем столе не появилась картинка с надписями, выражавшими искренние чувства уволенного им два месяца назад сотрудника.
Проблема возникла снова. При повторной проверке dial-in сервера выяснилось, что сервером этим никто не занимался. Аккаунты пользователей, не работавших в компании больше года, до сих пор были активны и, что самое неприятное – активно использовались. При проверке лог-файла подключений создавалось впечатление, что все пользователи только и делали, что «сидели» на этом модемном пуле: отключались на две-три минуты после часа работы и подключались снова.
Проводить какие-либо мероприятия в этих условиях было бессмысленно:
в лог-файле присутствовали практически все аккаунты, и, что самое печальное
– они не дублировались. Наказывать было некого. Конечно, пароли снова поменяли,
старые учетные записи подчистили, но проблемы это не решало. Поэтому руководство
компании пошло на радикальные меры: было принято решение о внедрении на модемном
пуле системы автоматического определения номера (АОН). Для этой цели между банком
модемов и dial-in сервером предполагалось устаовить систему определения номеров.
Для каждого пользователя был записан номер телефона, с которого он должен был звонить (в основном домашний телефон). Система должна была автоматически определять его номер, сверять с записью в разрешенных для дозвонки номерах и принимать решение о доступе пользователя к ресурсам сети. На внедрение системы было потрачено много средств (прежде всего финансовых), и, наконец, она была введена в эксплуатацию.
Ситуация резко стабилизировалась. Все пароли снова поменяли. Пользователи, недовольно поворчав пару недель, успокоились. Премий никого не лишали, вирусы постепенно исчезли (компании пришлось приобрести мощную антивирусную систему), а утраченные документы снова восстановили. И все вроде бы стало хорошо, вот только у заместителя директора по рекламе городская АТС никак не хотела «выдавать» номер звонящего. Такие же проблемы появились и у нескольких других сотрудников. В связи с этим два номера из модемного пула решили оставить «как есть» - без проверки входящего номера. Пользователям, чей номер не определялся, были просто сообщены другие номера для дозвонки без объяснения причин.
Конечно, специалисты службы безопасности опасались, что возможность рецидива все-таки остается, однако следующий удар пришел совсем с другой стороны. Администратор сервера баз данных, проводя аудит системы, неожиданно обнаружил подозрительную запись в реестре резервного копирования: около недели назад молодой сотрудник «слил» всю базу данных предприятия в файл на жестком диске своего рабочего места, после чего уволился с работы...
Я не зря так подробно описывал пример из реальной жизни. Как правило, специалисту по информационной безопасности нужно привести очень много аргументов для того, чтобы руководство, наконец, задумалось о положении дел в родной компании и приняло меры для улучшения ситуации. Для этого необходимо иметь четко обоснованный проект, позволяющий решить имеющиеся проблемы.
В приведенном примере не была решена практически ни одна проблема, связанная с обеспечением безопасности существующей схемы, только лишь потому, что отсутствовала их четкая формулировка. Давайте попробуем составить список основных проблем, требующих решения, самостоятельно. Итак:
1.
Передача регистрационной информации (логинов
и паролей) пользователей третьим лицам.
Факт, безусловно, имеющий ключевое значение в организации любой системы аутентификации пользователей. Зачем вообще нужен пароль, если его можно свободно передать другому человеку (зачастую не имеющему отношения к предприятию), можно написать его на бумажке и положить под клавиатуру или вообще приклеить на монитор, чтобы не забыть?
Механизм паролей давно изжил себя там, где пользователю не платит денег за его использование. Никто не скажет свой пароль на доступ к платному музыкальному сайту. А если злой сисадмин назначил такой пароль, что даже в страшном сне не приснится, да еще и заставляет менять его еженедельно? Что говорить о нашем случае, когда дают бесплатный Интернет?
2.
Неконтролируемый доступ пользователей
модемного пула к ресурсам ЛВС предприятия.
Здесь нужно определиться, зачем вообще нужен модемный пул. Для бесплатного доступа в Интернет? Тогда нужно полностью переделывать имеющуюся схему. Доступ к компьютеру на рабочем месте? Тогда нужно менять механизм аутентификации. Доступ к ресурсам ЛВС? Тогда нужно менять политику безопасности домена и вводить строгий аудит действий пользователей.
3.
Передача информации по открытым каналам
в незашифрованном виде.
Проще говоря, если я немного понимаю в радиоэлектронике,
и знаю, где ты живешь, я могу спаять устройство, придти к тебе на лестничную
клетку, подключиться к твоей телефонной паре и перехватить все, что ты передаешь.
И это самый примитивный из всех возможных случаев.
4.
Простота реализации «лобовой атаки» на
модемный пул такого рода.
Эта проблема в той или иной мере присуща всем модемным пулам, использующим аутентификацию «логин/пароль». Практически на всех «железках» есть так называемые «инженерные» пароли, предоставляющие вход в систему. Кроме того, пользователю лень запоминать трудный пароль, и, как правило, он старается максимально упростить себе эту задачу путем введения небезызвестных «love», «sex» или даты рождения.
Таким образом, мы обобщенно получили четыре проблемы, требующие решения. Как их решить? К счастью, эти проблемы далеко не новы, и над их решением думают многие эксперты по безопасности вычислительных систем. И, что самое главное, уже существует ряд готовых решений, обеспечивающих комплексную защиту систем подобного рода и ЛВС в целом.
Решение о внедрении системы АОН, безусловно, не лишено смысла. Таким образом специалисты компании отчасти решили проблему «внешних» вторжений. О внутренней информационной безопасности ЛВС предприятия не шло и речи. Тем не менее, согласно статистических данных, основными источниками утечки конфиденциальной информации являются именно сотрудники компаний, и последний случай – явный тому пример.
Поэтому необходимо обеспечить комплексную систему защиты как «извне», так и «изнутри» предприятия, обеспечив при этом максимальное удобство работы независимо от местонахождения и «прозрачность» системы защиты для пользователей. Лучше всего, чтобы пользователь вообще не знал о том, что такое пароль и не догадывался о существовании системы защиты.
Прочитав последний абзац, многие скажут: это невозможно. Да, действительно, это – идеальный и вряд ли выполнимый вариант. Однако существует решение, обеспечивающее выполнение 99% перечисленных выше функций. Называется оно Virtual Private Network (VPN).
Необходимо сразу развеять одно серьезное заблуждение, навязываемое некоторыми поставщиками VPN-систем. Оно состоит в том, что VPN – это единственное средство, которое позволяет организовать доступ к интрасети предприятия, а также работу мультимедийных систем, электронную коммерцию и т.д. Все эти системы могут существовать и без VPN. Просто их опасно использовать без должной степени защиты.
Все, что делает VPN – это обеспечивает возможность получения защищенного доступа к внутренним ресурсам из любой точки мира, а также защиту трафика, основанную на криптографии. Важно, что VPN делает это совершенно прозрачно для всех приложений, не вмешиваясь в их работу.
Итак, один из вариантов решения найден. Теперь необходимо проанализировать, насколько этот вариант способен решить описанные выше проблемы. По порядку:
1. Обычно VPN различает только отдельные компьютеры, но не их пользователей, то есть пользователь «отвязан» от конкретного рабочего места. Чтобы обеспечить удаленный доступ мобильным пользователям, система должна допускать подключение любого компьютера. Пользователь опознается по криптографическому сертификату, который представляет собой электронный паспорт, соответствующий стандарту Х.509.
2. «Внутри» предприятия необходимо, чтобы VPN различала отдельных пользователей и отдельные приложения. Пользователь должен получить свою конфигурацию VPN независимо от того, за каким компьютером он работает. Все необходимые для этого данные (ключи, сертификаты, конфигурация) находятся на его смарт-карте, электронном ключе или дискете.
3. VPN образует «непроницаемые» каналы связи поверх открытых сетей. Критичные точки контакта с открытой сетью должны контролироваться межсетевыми экранами. VPN способна обеспечивать функции межсетевого экрана в каждой точке, где есть ее агент. Такой распределенный экран контролируется из общего центра безопасности.
4. Межсетевой экран и VPN представляют собой комплексные системы, решающие две взаимосвязанные задачи: использование открытых сетей как канала связи (VPN) и обеспечение защиты от атак из открытых сетей при работе с открытой информацией, содержащейся в этих сетях (межсетевой экран).
Руководителю, принимающему
решение об установке тех или иных средств или систем, может быть интересен финансовый
аспект применения VPN. При выборе VPN компания получает защищенные
собственные каналы и защищенный трафик отдельных приложений по цене доступа
в Интернет, что на несколько порядков дешевле владения собственными линиями.
При установке VPN не требуется изменять топологию сетей, переписывать приложения,
обучать пользователей, т.е. тратить дополнительные ресурсы. Кроме того, обеспечивается
масштабируемость: VPN не создаст проблем роста, что сохранит инвестиции в инфраструктуру
безопасности.
Принимая во внимание изложенные выше аргументы, можно с уверенностью утверждать, что выбранное нами решение вполне подходит для осуществления поставленных задач. Остается только убедить в этом руководство. А для этого необходимо подробное описание прелагаемого решения, включая, естественно, предполагаемую стоимость проекта.
Правильно организованная VPN-система способна решить значительно более широкий круг задач по обеспечению защиты информации, чем просто создание надежно защищенного модемного пула. Честно говоря, имея подобную систему, компания вообще может отказаться от модемного пула и использовать для доступа к рабочим местам сеть Интернет. Однако об этом чуть позже, а сейчас настало время рисования схем и составления сметы.
Итак, мы защищаем модемный пул при помощи технологии VPN. Для этого нам понадобится:
1. VPN-клиент. Устанавливается на удаленных рабочих местах пользователей и предназначен для передачи регистрационной информации серверу доступа. Работает совершенно незаметно для пользователя.
2. VPN-сервер. Представляет собой «надстройку» над dial-in сервером, а точнее, тесно интегрируется в него. Предназначен для приема от VPN-клиентов регистрационной информации и принятия решения о допуске пользователей к ресурсам сети.
3. Центр управления VPN. Служит для оперирования сертификатами пользователей и полного аудита их действий в рамках защищаемой сети.
4.
Криптографические модули. Устанавливаются на клиентах и сервере, предназначены
для шифрования трафика.
Схема установки системы VPN показана на рисунке 2. Как видите, ничего сложного в этом нет – задача вполне выполнима для любого системного администратора с уровнем подготовки выше среднего.
Теперь о ценах. Как правило, клиенты и криптографические модули VPN бесплатны.
Таким образом, нам остается приобрести VPN-сервер и центр управления системой. При этом VPN-сервер будет установлен
на существующий dial-in сервер,
а для Центра управления рекомендуется приобрести отдельную машину. Все это удовольствие
вместе с аппаратной частью будет стоить порядка 20 тыс. долл. Не так уж много
по сравнению со стоимостью защищаемой информации и расходах, связанных с хищением
Интернет-трафика.
Рисунок
2
. Внедрение VPN для
защиты модемного пула
Теперь о перспективах развития этого решения. Я не случайно обратил ваше внимание на то, что внедрение системы позволит полностью избавиться от модемного пула. Схема установки системы будет приблизительно такая же, только вместо телефонной сети будет использоваться Интернет, а VPN-сервер будет интегрирован в межсетевой экран (см. рис. 1). Таким образом, высвободится 30 городских телефонных линий, как правило, арендуемых у провайдера услуг связи.
После того, как был подготовлен подробный проект внедрения данной системы и сделана грандиозная его презентация (системный администратор очень постарался), руководство компании выделило необходимую сумму на приобретение оборудования и программного обеспечения. Модемный пул был снят, а пользователи стали входить в локальную сеть через Интернет. Кстати говоря, число желающих пользоваться локальной сетью компании со своих домашних компьютеров значительно сократилось, поскольку «халявный» Интернет тоже прикрыли.
Дела у компании стали улучшаться, поскольку конкуренты перестали получать информацию. Системный администратор получил повышение по службе и прибавку к жалованию, правда, не очень большую.
Я нарочно не стал приводить какие-либо цифры и факты в этой статье, равно как и вдаваться в технические тонкости реализации проекта и привязываться к конкретному типу оборудования. Передо мной стояли несколько другие задачи, а именно «убить двух зайцев»: чтобы статья эта была интересна и техническим специалистам, которые могут столкнуться с аналогичной проблемой, и руководителям подразделений, в силу своих обязанностей «выбивающим» деньги у руководства компании.
Я хотел показать, насколько важно правильно провести диагностику и определить имеющиеся проблемы в существующей инфраструктуре, поставить задачи, которые должна решить внедряемая система и провести анализ, способна ли эта система решить поставленные пред ней задачи.
Кроме того, я хотел познакомить читателей с общими принципами технологии VPN применительно к защите одного из самых уязвимых мест в организации вычислительных сетей предприятия любого масштаба.
Надеюсь, поставленные передо мной задачи я выполнил в полном объеме. Остается добавить, что эту и множество других статей на тему информационной безопасности, а также массу утилит для аудита сети, включая сетевой сканер RuNmap – The Russian Network Mapper, вы можете обнаружить на сайте http://www.cherepovets-city.ru/insecure.